技術セキュリティの概要
以下の図は、Citrix DaaS Standard for Azure (旧称 Citrix Virtual Apps and Desktops Standard for Azure) 展開におけるコンポーネントを示しています。この例では、VNetピアリング接続を使用しています。
Citrix DaaS for Azureでは、デスクトップとアプリを提供するお客様のVirtual Delivery Agent (VDA) とCitrix Cloud™ Connectorが、Citrixが管理するAzureサブスクリプションとテナントに展開されます。
注記:
この記事では、Citrix Managed Azureサブスクリプションを使用してCitrix DaaS for Azureを展開するお客様向けのセキュリティ要件の概要を説明します。セキュリティ情報を含む、お客様が管理するAzureサブスクリプションを使用したCitrix DaaS for Azureの展開のアーキテクチャの概要については、「リファレンスアーキテクチャ: Virtual Apps and Desktops Service - Azure」を参照してください。
Citrix®の責任
AzureサブスクリプションとMicrosoft Entra ID
Citrixは、お客様のために作成されたAzureサブスクリプションとMicrosoft Entra IDのセキュリティに責任を負います。Citrixはテナントの分離を保証し、各お客様が独自のAzureサブスクリプションとAADを持つようにし、異なるテナント間のクロストークを防止します。Citrixはまた、AADへのアクセスをCitrix DaaS™ for AzureおよびCitrixの運用担当者のみに制限します。Citrixによる各お客様のAzureサブスクリプションへのアクセスは監査されます。
ドメインに参加していないカタログを使用するお客様は、Citrixが管理するAADをCitrix Workspaceの認証手段として使用できます。これらの顧客向けに、CitrixはCitrixが管理するAADに制限付き特権ユーザーアカウントを作成します。ただし、お客様のユーザーも管理者も、Citrixが管理するAAD上でいかなるアクションも実行できません。これらの顧客が代わりに独自のAADを使用することを選択した場合、そのセキュリティについては全面的に責任を負います。
仮想ネットワークとインフラストラクチャ
お客様のCitrix Managed Azureサブスクリプション内で、Citrixはリソースロケーションを分離するための仮想ネットワークを作成します。これらのネットワーク内で、Citrixはストレージアカウント、Key Vault、その他のAzureリソースに加えて、VDA、Cloud Connector、およびイメージビルダーマシン用の仮想マシンを作成します。CitrixはMicrosoftと提携して、仮想ネットワークファイアウォールを含む仮想ネットワークのセキュリティに責任を負います。
Citrixは、デフォルトのAzureファイアウォールポリシー (ネットワークセキュリティグループ) が、VNetピアリング接続におけるネットワークインターフェイスへのアクセスを制限するように構成されていることを保証します。一般的に、これはVDAおよびCloud Connectorへの受信トラフィックを制御します。詳細については、以下を参照してください。
お客様はこのデフォルトのファイアウォールポリシーを変更できませんが、Citrixが作成したVDAマシンに追加のファイアウォールルールを展開することはできます。たとえば、送信トラフィックを部分的に制限するためなどです。Citrixが作成したVDAマシンに仮想プライベートネットワーククライアント、またはファイアウォールルールをバイパスできるその他のソフトウェアをインストールするお客様は、発生する可能性のあるセキュリティリスクについて責任を負います。
Citrix DaaS for Azureのイメージビルダーを使用して新しいマシンイメージを作成およびカスタマイズする場合、お客様が新しいマシンイメージを含むマシンにRDP接続してカスタマイズできるように、Citrixが管理するVNetでポート3389が一時的に開かれます。
Azure VNetピアリング接続使用時のCitrixの責任
Citrix DaaS for AzureのVDAがオンプレミスのドメインコントローラー、ファイル共有、またはその他のイントラネットリソースに接続できるように、Citrix DaaS for Azureは接続オプションとしてVNetピアリングワークフローを提供します。お客様のCitrix管理仮想ネットワークは、お客様が管理するAzure仮想ネットワークとピアリングされます。お客様が管理する仮想ネットワークは、Azure ExpressRouteやiPsecトンネルなど、お客様が選択したクラウドからオンプレミスへの接続ソリューションを使用して、お客様のオンプレミスリソースとの接続を可能にする場合があります。
VNetピアリングに関するCitrixの責任は、Citrixとお客様が管理するVNet間のピアリング関係を確立するためのワークフローと関連するAzureリソース構成のサポートに限定されます。
Azure VNetピアリング接続のファイアウォールポリシー
Citrixは、VNetピアリング接続を使用する受信および送信トラフィックに対して、以下のポートを開閉します。
ドメインに参加していないマシンを持つCitrix管理VNet
- 受信ルール
- すべての受信を拒否します。これには、VDAからVDAへのVNet内トラフィックが含まれます。
- 送信ルール
- すべての送信トラフィックを許可します。
ドメインに参加しているマシンを持つCitrix管理VNet
- 受信ルール:
- VDAからCloud Connectorへ、およびCloud ConnectorからVDAへのポート80、443、1494、2598の受信を許可します。
- Monitorシャドウイング機能で使用されるIP範囲からVDAへのポート49152-65535の受信を許可します。「Citrixテクノロジーで使用される通信ポート」を参照してください。
- その他のすべての受信を拒否します。これには、VDAからVDAへ、およびVDAからCloud ConnectorへのVNet内トラフィックが含まれます。
- 送信ルール
- すべての送信トラフィックを許可します。
ドメインに参加しているマシンを持つお客様管理VNet
- お客様はVNetを正しく構成する必要があります。これには、ドメイン参加のために以下のポートを開放することが含まれます。
- 受信ルール:
- 内部起動のために、クライアントIPから443、1494、2598の受信を許可します。
- Citrix VNet (お客様が指定するIP範囲) から53、88、123、135-139、389、445、636の受信を許可します。
- プロキシ構成で開かれたポートの受信を許可します。
- お客様が作成したその他のルール。
- 送信ルール:
- 内部起動のために、Citrix VNet (お客様が指定するIP範囲) への443、1494、2598の送信を許可します。
- お客様が作成したその他のルール。
インフラストラクチャへのアクセス
Citrixは、お客様に通知することなく、ログの収集 (Windowsイベントビューアーを含む) やサービスの再起動などの特定の管理タスクを実行するために、お客様のCitrix管理インフラストラクチャ (Cloud Connector) にアクセスする場合があります。Citrixは、これらのタスクを安全かつセキュアに、お客様への影響を最小限に抑えて実行する責任を負います。Citrixはまた、ログファイルが安全かつセキュアに取得、転送、処理されることを保証する責任を負います。お客様のVDAにはこの方法でアクセスすることはできません。
ドメインに参加していないカタログのバックアップ
Citrixは、ドメインに参加していないカタログのバックアップを実行する責任を負いません。
マシンイメージのバックアップ
Citrixは、イメージビルダーで作成されたイメージを含む、Citrix DaaS for Azureにアップロードされたすべてのマシンイメージのバックアップに責任を負います。Citrixはこれらのイメージにローカル冗長ストレージを使用します。
トラブルシューティングツール使用時のファイアウォールポリシー
お客様がトラブルシューティングのために踏み台マシンの作成を要求した場合、Citrix管理VNetに対して以下のセキュリティグループ変更が行われます。
- お客様が指定したIP範囲から踏み台へのポート3389の受信を一時的に許可します。
- 踏み台IPアドレスからVNet内の任意のアドレス (VDAおよびCloud Connector) へのポート3389の受信を一時的に許可します。
- Cloud Connector、VDA、およびその他のVDA間のRDPアクセスは引き続きブロックします。
お客様がトラブルシューティングのためにRDPアクセスを有効にした場合、Citrix管理VNetに対して以下のセキュリティグループ変更が行われます。
- お客様が指定したIP範囲からVNet内の任意のアドレス (VDAおよびCloud Connector) へのポート3389の受信を一時的に許可します。
- Cloud Connector、VDA、およびその他のVDA間のRDPアクセスは引き続きブロックします。
お客様管理サブスクリプション
お客様管理サブスクリプションの場合、CitrixはAzureリソースの展開中に上記の責任を遵守します。展開後、お客様がAzureサブスクリプションの所有者であるため、上記のすべてはお客様の責任となります。
お客様の責任
VDAとマシンイメージ
お客様は、VDAマシンにインストールされているソフトウェアのすべての側面について責任を負います。これには以下が含まれます。
- オペレーティングシステムの更新とセキュリティパッチ
- アンチウイルスとアンチマルウェア
- VDAソフトウェアの更新とセキュリティパッチ
- 追加のソフトウェアファイアウォールルール (特に送信トラフィック)
- Citrixのセキュリティに関する考慮事項とベストプラクティスに従う
Citrixは、出発点として意図された準備済みイメージを提供します。お客様はこのイメージを概念実証やデモンストレーション目的、または独自のマシンイメージを構築するためのベースとして使用できます。Citrixは、この準備済みイメージのセキュリティを保証しません。Citrixは、準備済みイメージ上のオペレーティングシステムとVDAソフトウェアを最新の状態に保つよう努め、これらのイメージでWindows Defenderを有効にします。
VNetピアリング使用時のお客様の責任
お客様は、ドメインに参加しているマシンを持つお客様管理VNetで指定されているすべてのポートを開放する必要があります。
VNetピアリングが構成されている場合、お客様は自身の仮想ネットワークのセキュリティと、オンプレミスリソースへの接続に責任を負います。お客様はまた、Citrix管理ピアリング仮想ネットワークからの受信トラフィックのセキュリティにも責任を負います。Citrixは、Citrix管理仮想ネットワークからお客様のオンプレミスリソースへのトラフィックをブロックするためのいかなる措置も講じません。
お客様は、受信トラフィックを制限するために以下のオプションを利用できます。
- Citrix管理仮想ネットワークに、お客様のオンプレミスネットワークまたはお客様管理接続仮想ネットワークの他の場所で使用されていないIPブロックを割り当てます。これはVNetピアリングに必要です。
- お客様の仮想ネットワークおよびオンプレミスネットワークにAzureネットワークセキュリティグループとファイアウォールを追加し、Citrix管理IPブロックからのトラフィックをブロックまたは制限します。
- お客様の仮想ネットワークおよびオンプレミスネットワークに、侵入防止システム、ソフトウェアファイアウォール、行動分析エンジンなどの対策を展開し、Citrix管理IPブロックをターゲットとします。
プロキシ
お客様は、VDAからの送信トラフィックにプロキシを使用するかどうかを選択できます。プロキシを使用する場合、お客様は以下について責任を負います。
- VDAマシンイメージ上でプロキシ設定を構成するか、VDAがドメインに参加している場合はActive Directoryグループポリシーを使用します。
- プロキシのメンテナンスとセキュリティ。
プロキシは、Citrix Cloud Connectorまたはその他のCitrix管理インフラストラクチャでの使用は許可されていません。
カタログの回復性
Citrixは、回復性のレベルが異なる3種類のカタログを提供します。
- 静的: 各ユーザーは単一のVDAに割り当てられます。このカタログタイプは高可用性を提供しません。ユーザーのVDAがダウンした場合、回復するには新しいVDAに配置する必要があります。Azureは、標準SSDを備えたシングルインスタンスVMに対して99.5%のSLAを提供します。お客様はユーザープロファイルをバックアップできますが、VDAに対して行われたカスタマイズ (プログラムのインストールやWindowsの構成など) は失われます。
- ランダム: 各ユーザーは起動時にサーバーVDAにランダムに割り当てられます。このカタログタイプは、冗長性により高可用性を提供します。VDAがダウンしても、ユーザープロファイルが別の場所に存在するため、情報は失われません。
- Windows 10マルチセッション: このカタログタイプは、ランダムタイプと同じ方法で動作しますが、サーバーVDAの代わりにWindows 10ワークステーションVDAを使用します。
ドメインに参加しているカタログのバックアップ
お客様がVNetピアリングを使用してドメインに参加しているカタログを使用する場合、お客様はユーザープロファイルのバックアップに責任を負います。Citrixは、お客様がオンプレミスのファイル共有を構成し、Active DirectoryまたはVDAでポリシーを設定して、これらのファイル共有からユーザープロファイルをプルすることを推奨します。お客様は、これらのファイル共有のバックアップと可用性に責任を負います。
ディザスターリカバリー
Azureのデータ損失が発生した場合、CitrixはCitrix管理Azureサブスクリプション内の可能な限り多くのリソースを回復します。CitrixはCloud ConnectorとVDAの回復を試みます。Citrixがこれらのアイテムの回復に失敗した場合、お客様は新しいカタログを作成する責任を負います。Citrixは、マシンイメージがバックアップされており、お客様がユーザープロファイルをバックアップしているため、カタログを再構築できると想定しています。
Azureリージョン全体の損失が発生した場合、お客様は新しいリージョンでお客様管理仮想ネットワークを再構築し、Citrix DaaS for Azure内で新しいVNetピアリングを作成する責任を負います。
Citrixとお客様の共有責任
ドメイン参加カタログ用Citrix Cloud Connector™
Citrix DaaS for Azureは、各リソースロケーションに少なくとも2つのCloud Connectorを展開します。一部のカタログは、同じお客様の他のカタログと同じリージョン、VNetピアリング、およびドメインにある場合、リソースロケーションを共有する場合があります。Citrixは、お客様のドメイン参加Cloud Connectorに対して、イメージ上の以下のデフォルトセキュリティ設定を構成します。
- オペレーティングシステムの更新とセキュリティパッチ
- アンチウイルスソフトウェア
- Cloud Connectorソフトウェアの更新
お客様は通常、Cloud Connectorにアクセスできません。ただし、カタログのトラブルシューティング手順を使用し、ドメイン資格情報でログインすることでアクセスを取得できます。お客様は、踏み台経由でログインする際に行った変更について責任を負います。
お客様は、Active Directoryグループポリシーを通じてドメイン参加Cloud Connectorを制御することもできます。お客様は、Cloud Connectorに適用されるグループポリシーが安全かつ適切であることを確認する責任を負います。たとえば、お客様がグループポリシーを使用してオペレーティングシステムの更新を無効にすることを選択した場合、お客様はCloud Connector上でオペレーティングシステムの更新を実行する責任を負います。お客様はまた、異なるアンチウイルスソフトウェアをインストールするなど、Cloud Connectorのデフォルトよりも厳格なセキュリティを強制するためにグループポリシーを使用することもできます。一般的に、Citrixは、Citrixが使用するデフォルトが問題なく適用されるように、お客様がCloud Connectorをポリシーのない独自のActive Directory組織単位に配置することを推奨します。
トラブルシューティング
お客様がCitrix DaaS for Azureのカタログで問題が発生した場合、トラブルシューティングには踏み台の使用とRDPアクセスの有効化という2つのオプションがあります。どちらのオプションもお客様にセキュリティリスクをもたらします。お客様は、これらのオプションを使用する前に、このリスクを理解し、引き受けることに同意する必要があります。
Citrixは、トラブルシューティング操作を実行するために必要なポートを開閉し、これらの操作中にどのマシンにアクセスできるかを制限する責任を負います。
踏み台またはRDPアクセスのいずれを使用する場合でも、操作を実行するアクティブユーザーは、アクセスされているマシンのセキュリティに責任を負います。お客様がRDP経由でVDAまたはCloud Connectorにアクセスし、誤ってウイルスに感染した場合、お客様が責任を負います。Citrixサポート担当者がこれらのマシンにアクセスする場合、それらの担当者が安全に操作を実行する責任があります。踏み台または展開内の他のマシンにアクセスする人物によって公開された脆弱性 (たとえば、許可リストにIP範囲を追加するお客様の責任、IP範囲を正しく実装するCitrixの責任など) に関する責任は、このドキュメントの別の場所で説明されています。
どちらのシナリオでも、CitrixはRDPトラフィックを許可するためのファイアウォール例外を正しく作成する責任を負います。Citrixはまた、お客様が踏み台を破棄するか、Citrix DaaS for Azureを通じてRDPアクセスを終了した後、これらの例外を取り消す責任を負います。
踏み台
Citrixは、お客様のCitrix管理サブスクリプション内のお客様のCitrix管理仮想ネットワークに踏み台を作成し、問題を診断および修復する場合があります。これは、プロアクティブに (お客様への通知なしに) 行われる場合もあれば、お客様が提起した問題に対応して行われる場合もあります。踏み台は、お客様がRDP経由でアクセスし、その後RDP経由でVDAおよび (ドメイン参加カタログの場合は) Cloud Connectorにアクセスして、ログの収集、サービスの再起動、またはその他の管理タスクを実行できるマシンです。デフォルトでは、踏み台を作成すると、お客様が指定したIPアドレス範囲から踏み台マシンへのRDPトラフィックを許可する外部ファイアウォールルールが開かれます。また、RDP経由でCloud ConnectorおよびVDAへのアクセスを許可する内部ファイアウォールルールも開かれます。これらのルールを開放することは、大きなセキュリティリスクをもたらします。
お客様は、ローカルWindowsアカウントに使用される強力なパスワードを提供する責任を負います。お客様はまた、踏み台へのRDPアクセスを許可する外部IPアドレス範囲を提供する責任も負います。お客様がIP範囲を提供しないことを選択した場合 (誰でもRDPアクセスを試行できるようにする場合)、お客様は悪意のあるIPアドレスによるアクセス試行について責任を負います。
お客様は、トラブルシューティングが完了した後、踏み台を削除する責任も負います。踏み台ホストは追加の攻撃対象領域を公開するため、Citrixは電源投入後8時間でマシンを自動的にシャットダウンします。ただし、Citrixが踏み台を自動的に削除することはありません。お客様が踏み台を長期間使用することを選択した場合、そのパッチ適用と更新に責任を負います。Citrixは、踏み台を削除する前に数日間のみ使用することを推奨します。お客様が最新の踏み台を希望する場合、現在の踏み台を削除してから新しい踏み台を作成できます。これにより、最新のセキュリティパッチが適用された新しいマシンがプロビジョニングされます。
RDPアクセス
ドメイン参加カタログの場合、お客様のVNetピアリングが機能している場合、お客様はピアリングされたVNetからCitrix管理VNetへのRDPアクセスを有効にできます。お客様がこのオプションを使用する場合、お客様はVNetピアリング経由でVDAおよびCloud Connectorにアクセスする責任を負います。ソースIPアドレス範囲を指定することで、お客様の内部ネットワーク内であってもRDPアクセスをさらに制限できます。お客様は、これらのマシンにログインするためにドメイン資格情報を使用する必要があります。お客様がCitrixサポートと協力して問題を解決している場合、お客様はこれらの資格情報をサポート担当者と共有する必要がある場合があります。問題が解決した後、お客様はRDPアクセスを無効にする責任を負います。お客様のピアリングされたネットワークまたはオンプレミスネットワークからRDPアクセスを開放したままにすることは、セキュリティリスクをもたらします。
ドメイン資格情報
お客様がドメイン参加カタログを使用することを選択した場合、お客様はCitrix DaaS for Azureに、マシンをドメインに参加させる権限を持つドメインアカウント (ユーザー名とパスワード) を提供する責任を負います。ドメイン資格情報を提供する際、お客様は以下のセキュリティ原則を遵守する責任を負います。
- 監査可能: アカウントはCitrix DaaS for Azureの使用のために特別に作成され、その用途を簡単に監査できるようにする必要があります。
- スコープ: アカウントには、マシンをドメインに参加させる権限のみが必要です。完全なドメイン管理者であってはなりません。
- セキュア: アカウントには強力なパスワードを設定する必要があります。
Citrixは、お客様のCitrix管理Azureサブスクリプション内のAzure Key Vaultにこのドメインアカウントを安全に保管する責任を負います。アカウントは、操作にドメインアカウントのパスワードが必要な場合にのみ取得されます。
詳細情報
関連情報については、以下を参照してください。
- Citrix Cloud Platformのセキュア展開ガイド: Citrix Cloudプラットフォームのセキュリティ情報。
- 技術セキュリティの概要: Citrix DaaSのセキュリティ情報。
- サードパーティ通知